أصلحت شركة مايكروسوفت ثغرة خطيرة في محرك بحث "بينج"، فتم تلافي الخطأ الذي كان يسمح للمستخدمين بالتلاعب بنتائج البحث والوصول إلى المعلومات الشخصية لهؤلاء المستخدمين في تطبيقات أخرى مثل "تيمز" و"آوتلوك" و"أوفيس 365".
اكتشفت شركة (ويز) Wiz باحثون في شهر يناير/ كانون الثاني الماضي، خطأ في تكوين (أزور) Azure يسمح بالاختراق عن طريق (بينج). بالإضافة إلى أنه يسمح لأي مستخدم لمنصة الحوسبة السحابية التابعة لشركة مايكروسوفت، بالدخول إلى التطبيقات دون الحصول على إذن.
لقد استطاع الباحثون اكتشاف ثغرة أمنية في خدمة إدارة الوصول والهوية Azure Active Directory، حيث يتيح لأي مستخدم لديه جهاز (أزور) الوصول إلى التطبيقات التي تستخدم أذونات المستأجرين المتعددين بسهولة، وهذه الأذونات قام بتطبيقها المطورون للتحقق من قابلية المستخدمين للاطلاع على تطبيقاتهم.
نظراً لعدم وضوح هذه المسؤولية دائماً، فإن الخطأ في التكوين يحدث بشكل متكرر، حتى بلغت (ويز) إلى 25% من التطبيقات المستأجرة العديدة التي فحصتها نقصًا في التحقق الصحيح للصلاحية.
تعتبر تطبيق Bing Trivia واحدة من تطبيقات الهاكرز، حيث يمكن للمستخدمين الدخول إلى التطبيق باستخدام حساباتهم في خدمة (أزور)، وتم اكتشاف نظام إدارة المحتوى CMS الذي يسمح للهاكرز بالسيطرة على نتائج محرك البحث Bing.com مباشرةً.
تحذر شركة (ويز) من احتمال أن يقوم أي شخص بتلاعب نتائج البحث في صفحة تطبيق Bing Trivia بهدف انتشار المعلومات الخادعة، أو التصيد الاحتيالي.
كشف تحقيق في قسم عمل بينج أن استغلال يمكن استخدامه للوصول إلى بيانات مستخدمي خدمة البرامج المكتبية (أوفيس 365)، ما يؤدي إلى تعرض رسائل البريد الإلكتروني، التقويمات، رسائل (تيمز) و مستندات (شيربوينت) SharePoint و ملفات(OneDrive) في Outlook.
أثبتت شركة ويز أنها قد نجحت في استغلال ثغرة أمنية لقراءة رسائل البريد الإلكتروني المستقبلة لضحية افتراضية، وبعدها تم اكتشاف عمليات استخدام مشابهة في أكثر من ألف تطبيق وموقع يستخدم منصة مايكروسوفت السحابية، بما في ذلك Mag News، و Contact Center، و PoliCheck، و Power Automate Blog، و Cosmos.
وقال آمي لوتواك، الكبير المسؤول عن التقنية في شركة ويز، لصحيفة وول ستريت جورنال: "من المحتمل أن يكون هناك مهاجم قد تسبب في تأثير نتائج بحث محرك (Bing)، وانتهك بريد (Microsoft 365) والبيانات الخاصة به للملايين من الأشخاص." وأشار إلى أن يمكن أن يكون المهاجم دولة قومية حاولت التأثير على الرأي. في الأساس، يشير هذا إلى شخص يقوم بعملية قرصنة كجزء من نشاطه الغير المشروع لتحقيق الأرباح المادية.
ووفقاً لأحد كبار مسؤولي التقنية في شركة (ويز)، تم إبلاغ المركز الأمني التابع لشركة مايكروسوفت بثغرة في (بينج) في الحادي والثلاثين من يناير الماضي، وتم إصلاحها من قِبل الشركة في الثاني من فبراير.
قامت ويز بتحديد التطبيقات الأخرى المعرضة للخطر في 25 شباط/ فبراير وتم التأكيد من مايكروسوفت أن جميع المشكلات قد تم حلها في 20 آذار/ مارس الحالي. كما أعلنت مايكروسوفت عن إجراء تغيرات إضافية للحد من خطورة أخطاء التهيئة في المستقبل.
شهد محرك البحث (بينج) ازديادًا كبيرًا في الشهرة حديثًا، حتى تجاوز عدد المستخدمين النشطين يوميَّا 100 مليون مستخدم في وقت سابق من هذا الشهر بعد تطوير ميزة الدردشة التي تعتمد على تقنية الذكاء الاصطناعي والتي ظهرت في يوم 7 فبراير الماضي.
لو لم يتم حل المشكلة قبل أيام من إصدار الميزة، كان من الممكن أن يؤثر النمو الكبير لمحرك البحث على ملايين المستخدمين بسبب الثغرة الأمنية الخطيرة، خاصةً وأن محرك بحث "بينج" يعتبر ثالث أكبر موقع زيارات في العالم وفقًا لشركة "Similarweb".
في أكتوبر/ تشرين الأول من العام السابق، حدث خطأ مشابه في التكوين في (أزور)، مما أدى إلى عملية اختراق لبيانات (بلوبليد) BlueBleed وتسريب بيانات حوالى 150000 شركة من 123 دولة.
قالت (ويز) إنه لا يوجد أي دليل على استغلال الثغرة الأمنية قبل تصحيحها، ومع ذلك، فإن سجلات Azure Active Directory لا تحتوي بالضرورة على تفاصيل حول الأنشطة السابقة، وتشير (ويز) إلى أن هذه المسألة قد يتم استغلالها لسنوات.
توصي "ويز" المؤسسات اللتي تحتوي على تطبيقات في Azure Active Directory بالتحقق من سجلات التطبيقات الخاصة بهم للبحث عن أية محاولات دخول غير مشروعة التي يمكن إشارتها إلى وجود خرق في الأمان.